Trojan Perbankan Rokarolla
Penyelidik keselamatan siber telah mengenal pasti trojan perbankan Android baharu yang dikenali sebagai Rokarolla, dinamakan sempena infrastruktur Perintah dan Kawalan (C2). Malware ini direka bentuk untuk menyasarkan pelbagai perkhidmatan kewangan, dengan keupayaan untuk menyerang 217 aplikasi perbankan dan mata wang kripto. Dilengkapi dengan 137 arahan jauh, Rokarolla menyediakan penjenayah siber dengan tahap kawalan yang luar biasa ke atas peranti yang diceroboh.
Setelah dipasang, perisian hasad ini boleh mengalih keluar perlindungan skrin kunci, memintas dan menghantar mesej SMS, memanipulasi kandungan papan klip untuk mengalihkan pemindahan mata wang kripto, malah melumpuhkan mekanisme keselamatan terbina dalam Google.
Isi kandungan
Pengedaran Tersembunyi Melalui Aplikasi Palsu
Rokarolla terutamanya diedarkan melalui laman web berniat jahat yang menyamar sebagai aplikasi yang sah dan popular, termasuk TikTok dan Google Chrome.
Mangsa pada mulanya memuat turun aplikasi dropper yang menyamar sebagai Google Play Protect. Dengan mengeksploitasi penampilan yang dipercayai ini, dropper tersebut memujuk pengguna untuk memberikan kebenaran Perkhidmatan Kebolehcapaian dan memudahkan pemasangan muatan berniat jahat. Selepas pelaksanaan, salah satu arahan Rokarolla serta-merta melumpuhkan Play Protect, menghapuskan lapisan penting keselamatan Android.
Serangan Overlay Direka untuk Mencuri Kelayakan
Kecurian kelayakan dilakukan melalui serangan tindanan yang canggih. Rokarolla mengambil senarai aplikasi yang disasarkan daripada pelayan arahannya dan memuat turun halaman log masuk HTML palsu yang sepadan dengan aplikasi tersebut. Antara muka palsu ini disimpan secara setempat dan dipaparkan setiap kali mangsa membuka aplikasi perbankan atau mata wang kripto yang sah.
Skrin palsu direka bentuk untuk menangkap semua maklumat yang dimasukkan oleh pengguna, termasuk nama pengguna, kata laluan dan butiran kad pembayaran. Para penyelidik memerhatikan satu contoh yang meniru aplikasi perbankan 'imagine' dengan meyakinkan.
Perisian hasad ini juga menggunakan lapisan skrin kunci Android palsu yang mampu mencuri PIN, corak dan kata laluan. Keupayaan ini membolehkan penyerang mengekalkan akses dan kawalan walaupun peranti dikunci.
Kecurian Kredensial, Pengawasan dan Penipuan Kewangan dalam Satu Pakej
Rokarolla menggabungkan pelbagai mekanisme pengawasan dan kecurian untuk memaksimumkan pengumpulan data dan keuntungan kewangan:
- Pemantauan SMS penuh dan keupayaan penghantaran mesej membolehkan pemintasan kod laluan sekali guna yang digunakan untuk pengesahan perbankan dan kelulusan transaksi.
- Dengan menetapkan dirinya sebagai aplikasi pemesejan dan panggilan lalai peranti, perisian hasad boleh menyekat panggilan masuk, berpotensi menghalang amaran penipuan daripada sampai kepada mangsa.
- Fungsi keylogging dan screen-logging bersepadu merakam aktiviti pengguna, manakala kenalan dan pemberitahuan dikumpulkan secara berterusan.
- Manipulasi papan klip secara senyap menggantikan alamat dompet mata wang kripto yang disalin dengan alamat yang dikawal oleh penyerang, lalu mengalihkan dana tanpa pengetahuan mangsa.
Teknik Pemantauan Tersembunyi Mengelakkan Pengesanan
Tidak seperti kebanyakan keluarga perisian hasad Android yang bergantung pada rakaman skrin berasaskan MediaProjection, Rokarolla menggunakan strategi pengawasan yang lebih senyap. Daripada mencetuskan pemberitahuan rakaman yang kelihatan, ia menangkap tangkapan skrin melalui Perkhidmatan Kebolehcapaian, memampatkannya ke dalam fail PNG dan menghantarnya secara individu kepada pengendalinya.
Pendekatan ini mengurangkan kemungkinan pengesanan sambil masih memberikan penyerang pandangan terperinci tentang aktiviti pengguna. Berbanding dengan pelaksanaan VNC tersembunyi yang digunakan oleh keluarga perisian hasad seperti HOOK dan Klopatra, pemantauan berasaskan tangkapan skrin Rokarolla adalah lebih mudah dan lebih berhati-hati.
Infrastruktur Berdaya Tahan dan Trend Perisian Hasad yang Semakin Berkembang
Perisian hasad ini dibina untuk menahan usaha gangguan. Pelbagai domain arahan dan kawalan sandaran dibenamkan dalam kod tersebut dan pengendali boleh menetapkan pelayan tambahan secara dinamik apabila diperlukan. Akibatnya, melumpuhkan satu pelayan arahan mempunyai sedikit kesan terhadap keseluruhan operasi.
Set arahannya yang luas melebihi 107 arahan yang didokumenkan sebelum ini dalam trojan perbankan HOOK, mencerminkan kecanggihan perisian hasad perbankan Android yang semakin meningkat yang diperhatikan sepanjang tahun 2026. Metodologi serangan ini mengikuti corak biasa yang semakin biasa:
- Pengedaran melalui pemasang aplikasi palsu.
- Penyalahgunaan Perkhidmatan Kebolehcapaian untuk peningkatan keistimewaan dan kawalan peranti.
- Penggunaan tindanan berasaskan HTML untuk mendapatkan kelayakan dan maklumat sensitif.
Langkah-langkah Pertahanan Kekal Kritikal
Oleh kerana Rokarolla merupakan perisian hasad dan bukannya kelemahan perisian, tiada tampalan keselamatan yang mampu menghapuskan ancaman tersebut. Perlindungan bergantung pada pematuhan amalan keselamatan Android yang mantap.
Aplikasi hanya perlu dipasang dari Gedung Google Play rasmi, Google Play Protect harus kekal diaktifkan pada setiap masa, dan sebarang permintaan kebenaran Kebolehcapaian yang tidak dijangka harus dianggap sebagai tanda amaran yang penting. Akses kebolehcapaian berfungsi sebagai asas rantaian serangan Rokarolla dan membolehkan banyak keupayaannya yang paling berbahaya.
Atribusi Masih Tidak Diketahui
Pada masa laporan ini dibuat, Rokarolla belum dikaitkan dengan mana-mana pelaku ancaman atau kumpulan penjenayah siber yang dikenal pasti secara terbuka. Walau bagaimanapun, reka bentuknya jelas menunjukkan usaha yang disengajakan untuk memintas perlindungan yang digalakkan untuk dipercayai oleh pengguna Android, termasuk Play Protect, perlindungan skrin kunci dan kawalan keselamatan terbina dalam yang lain.
Keupayaan perisian hasad ini menonjolkan evolusi berterusan trojan perbankan Android dan peningkatan kecanggihan ancaman mudah alih yang bermotifkan kewangan.